{"id":803,"date":"2024-11-12T04:00:00","date_gmt":"2024-11-12T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=803"},"modified":"2024-11-12T04:00:00","modified_gmt":"2024-11-12T04:00:00","slug":"so-verhindern-sie-ki-gestutzte-datenvorfalle","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=803","title":{"rendered":"So verhindern Sie KI-gest\u00fctzte Datenvorf\u00e4lle"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Teerachai Jampanak \u2013 Shutterstock.com<\/p>\n<\/div>\n

Es ist der Alptraum jedes Unternehmens: Ein Wettbewerber spricht mit gezielten Kampagnen die eigenen Kunden an. Und zwar so pr\u00e4zise, dass dies kein Zufall sein kann. Es ist anzunehmen, dass der Konkurrent irgendwie Zugang zu diesen sensitiven Daten erhalten hat.<\/p>\n

Die Quelle der Datenschutzverletzung: Ein ehemaliger Mitarbeitender nutzte einen KI-Assistenten, um auf eine interne Datenbank voller Kontodaten zuzugreifen. Daraufhin kopierte er sensible Details wie die Kundenums\u00e4tze und die Produktnutzung. Anschlie\u00dfend nahm er sie mit zu seinem neuen Arbeitgeber.<\/p>\n

Dieses Beispiel verdeutlicht ein schnell wachsendes Problem: Der rasant steigende Einsatz von generativen KI-Tools wird unweigerlich zu mehr Datenverst\u00f6\u00dfen f\u00fchren. Laut einer aktuellen Gartner-Umfrage geh\u00f6ren zu den h\u00e4ufigsten KI-Einsatzgebieten GenAI-basierte Anwendungen wie Microsoft 365 Copilot und Salesforce. Diese Tools sind f\u00fcr Unternehmen zwar eine hervorragende M\u00f6glichkeit zur Produktivit\u00e4tssteigerung, stellen aber auch eine gro\u00dfe Herausforderung f\u00fcr die Datensicherheit dar.<\/p>\n

Lesetipp:<\/strong> Wie CISOs KI-Workloads absichern<\/a><\/p>\n

Datenrisiken<\/strong><\/h2>\n

Untersuchungen zeigen, dass fast 99 Prozent der Berechtigungen nicht genutzt werden, wobei mehr als die H\u00e4lfte davon mit einem hohen Risiko behaftet sind. Ungenutzte und zu weit gefasste Zugriffsrechte sind prinzipiell ein Problem f\u00fcr die Datensicherheit. Durch k\u00fcnstliche Intelligenz versch\u00e4rft sich die Situation um ein Vielfaches. Wenn ein User einem AI-Assistenten eine Frage stellt, formuliert das Tool eine Antwort in nat\u00fcrlicher Sprache auf der Grundlage von Internetinhalten und Unternehmensdaten mittels Graphen-Technologie. Dabei kann beispielsweise Microsoft Copilot auf all jene Daten zugreifen, auf die auch der User zugreifen kann \u2013 selbst wenn der Benutzer gar nicht wei\u00df, dass er Zugriff darauf hat. Entsprechend kann Copilot leicht sensible Daten preisgeben.<\/p>\n

KI senkt die H\u00fcrde f\u00fcr Angreifer<\/strong><\/h2>\n

Durch KI sind die Tage gez\u00e4hlt, an denen Angreifer noch Systeme \u201ehacken\u201c sowie langsam und vorsichtig die Umgebung auskundschaften mussten. Jetzt k\u00f6nnen sie einfach einen KI-Assistenten nach sensiblen Informationen oder Zugangsdaten fragen, um sich lateral in der Umgebung zu bewegen.<\/p>\n

Die gr\u00f6\u00dften Herausforderungen f\u00fcr die Cybersecurity durch KI sind:<\/p>\n

Mitarbeitende haben Zugriff auf zu viele Daten<\/p>\n

Sensible Daten sind oft nicht oder falsch gekennzeichnet<\/p>\n

Insider k\u00f6nnen Daten mithilfe nat\u00fcrlicher Sprache schnell finden und exfiltrieren<\/p>\n

Angreifer k\u00f6nnen Secrets f\u00fcr die Ausweitung von Privilegien und seitliche Bewegungen finden (lassen)<\/p>\n

Die richtige Dimensionierung des Zugriffs ist manuell unm\u00f6glich<\/p>\n

Generative KI erzeugt schnell neue sensitive Daten<\/p>\n

Diese Herausforderungen f\u00fcr die Datensicherheit sind nicht neu. Angesichts der Geschwindigkeit und Leichtigkeit, mit der KI Angreifern Informationen zug\u00e4nglich machen kann, lassen sie sich jetzt einfacher denn je ausnutzen.<\/p>\n

Lesetipp:<\/strong> Der gro\u00dfe KI-Risiko-Guide<\/a><\/p>\n

Schutzma\u00dfnahmen gegen das KI-Risiko<\/strong><\/h2>\n

Der erste Schritt zur Beseitigung der mit der KI verbundenen Risiken besteht darin, sicherzustellen, dass die Hausaufgaben gemacht wurden. Bevor man so leistungsstarke Tools wie Copilot einsetzt, m\u00fcssen CISOs wissen, wo sich welche sensitiven Daten befinden. Zudem m\u00fcssen sie in der Lage sein, Gef\u00e4hrdung und Risiken zu analysieren, Sicherheitsl\u00fccken zu schlie\u00dfen und Fehlkonfigurationen effizient zu beheben.<\/p>\n

Erst, wenn CISOs die Datensicherheit in ihrer Umgebung im Griff haben und die richtigen Prozesse eingerichtet sind, ist das Unternehmen bereit, KI-Assistenten einzuf\u00fchren. Dabei sollten Sicherheitsverantwortliche auch nach der Installation kontinuierlich auf folgende drei Bereiche achten:<\/p>\n

Zugriffsrechte<\/strong>: Es muss sichergestellt werden, dass die Berechtigungen der Mitarbeitenden richtig dimensioniert sind und dass der Zugriff des KI-Tools diesen Berechtigungen entspricht.<\/p>\n

Klassifizierung<\/strong>: Sobald CISOs wissen, \u00fcber welche sensiblen Daten das Unternehmen verf\u00fcgt, k\u00f6nnen sie diese mit Labels versehen, um DLP-Regeln wirkungsvoll durchzusetzen.<\/p>\n

Menschliche Aktivit\u00e4ten<\/strong>: Die Nutzung der KI-Assistenten muss \u00fcberwacht und jedes verd\u00e4chtige Verhalten entdeckt werden. Die Analyse der Eingabeaufforderungen und der Dateien, auf die zugegriffen wird, ist dabei entscheidend. Nur so kann der Missbrauch der k\u00fcnstlichen Intelligenz verhindert werden.<\/p>\n

Lesetipp:<\/strong> Risikobewertung hilft CISOs<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Teerachai Jampanak \u2013 Shutterstock.com Es ist der Alptraum jedes Unternehmens: Ein Wettbewerber spricht mit gezielten Kampagnen die eigenen Kunden an. Und zwar so pr\u00e4zise, dass dies kein Zufall sein kann. Es ist anzunehmen, dass der Konkurrent irgendwie Zugang zu diesen sensitiven Daten erhalten hat. Die Quelle der Datenschutzverletzung: Ein ehemaliger Mitarbeitender nutzte einen KI-Assistenten, um […]<\/p>\n","protected":false},"author":0,"featured_media":804,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-803","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/803"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=803"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/803\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/804"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=803"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=803"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=803"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}